Know Your Enemy I

Cet article a été traduit de l'anglais par OUAH (OUAH_@hotmail.com),
La version originale est de Lance Spitzner (lspitz@ksni.net) et peut-être obtenue à http://www.enteract.net/~lsiptz.

Know Your Enemy I: Les outils et les méthodes du script Kiddie

Mon commandant avait l'habitude de me dire que pour se protéger soi-même contre l'ennemi,
vous devez d'abord savoir qui est votre ennemi. Cette doctrine militaire s'applique aisément au monde de la sécurité des réseaux. Comme dans le domaine militaire, vous avez des ressources que vous essayez de protéger. Pour vous aider à protéger ces ressources, vous devez savoir qui vous menacent et comment ils vont attaquer. Cet article, le premier d'une série de trois, s'intéresse à cela, il parle des outils et des méthodes utilisées par une des plus commune et universelle des menaces, celle des Script Kiddies. Le deuxième article se concentre sur la façon dont vous pouvez détecter ces tentatives d'attaques, identifier quels outils ils utilisent et quelles vulnérabilités ils recherchent. Le troisième article parle de ce qui se produit une fois qu'ils obtiennent le statut root. Plus particulièrement, comment ils dissimulent leurs traces et ce qu'ils font après.

Qui est le Script Kiddie?

Le script kiddie est quelqu'un à la recherche d'une intrusion facile. Ils ne font pas cela pour
une information ou une compagnie spécifique. Leur but est d'obtenir le statut root le plus
facilement possible. Ils font cela en se concentrant sur un nombre restreint d'exploits, et puis en recherchant une victime pour utiliser cet exploit sur tout le net. Tôt ou tard ils trouveront quelqu'un de vulnérable.

Certains d'entre eux sont des utilisateurs avancés qui développent leurs propres outils et laissent derrière eux des backdoors complexes. D'autres n'ont aucune idée de ce qu'ils font et savent seulement taper "go" à l'invite de commande. Indépendamment du leur niveau de compétence, ils partagent tous une stratégie commune, rechercher aléatoirement une faiblesse spécifique sur un ordinateur puis exploiter cette faiblesse.

La Menace

C'est la sélection aléatoire des cibles qui rend la menace du script kiddie si dangereuse. Tôt ou tard vos ordinateurs et vos réseaux seront scannés car vous ne pouvez pas leur cacher votre présence sur le net. Je connais des administrateurs qui étaient stupéfaits que leurs systèmes aient été scannés alors qu'ils s'étaient absentés pendant seulement deux jours, et que personne ne connaissait rien sur eux. Il n'y a rien d'étonnant ici. Très probablement, leurs systèmes ont été approchés par un script kiddie qui scannait cette partie du réseau.

Si cela était limité à quelques scans individuels, les statistiques seraient en votre faveur. Avec les millions d'ordinateurs qu'il y a sur Internet, la chance ferait que personne ne vous trouverait. Mais ce n'est pas le cas. La plupart de ces outils sont simples à utiliser et sont largement distribué, n'importe qui peut les utiliser. Un nombre grandissant de personnes obtiennent ces outils dans des taux alarmants. Vu que Internet ne connaît pas les frontières,
cette menace a rapidement atteint l'échelle mondiale. Soudainement, la loi des nombres se retourne contre nous. Avec tant d'utilisateurs sur Internet qui utilisent ces outils, ce n'est plus une question de si, mais de quand de vous serez analysés.

Voilà un excellent exemple de pourquoi la sécurité par l'obscurité peut vous perdre: vous pouvez penser que si personne ne connaît l'existence de votre système, vous êtes sécurisés. D'autres croient que leurs systèmes n'ont aucun intérêt, donc pourquoi quelqu'un voudrait dit-il les sonder? Ce sont ces nombreux systèmes dont les script kiddies sont à la recherche, le système pas protégé qu'il est facile de pénétrer.

La méthode

La méthode du script kiddie est une méthode simple. Scanner Internet pour une faiblesse spécifique et quand vous la trouvez, exploitez-là. La plupart des outils qu'ils utilisent sont automatisés mais requièrent une petite intéraction. Vous lancez le programme puis revenez plusieurs jours plus tard pour obtenir vos résultats. Aucun de deux outils ne sont semblables, exactement comme deux exploits sont semblables. Toutefois, la plupart des outils utilisent la même stratégie. D'abord, développer une base de données d'IPs qui pourront être scannées. Puis
scanner ces IPs pour une vulnérabilité particulière.

Par exemple, disons qu'un utilisateur a un outil qui pourrait exploiter imap sur des systèmes de Linux, comme imapd_exploit.c. D'abord, ils développeraient une base de données d'adresses d'IP qu'ils pourraient scanner (càd les systèmes qui sont allumés et accessibles). Une fois que cette base de données d'adresses d'IP est faite, l'utilisateur voudra déterminer quels systèmes utilisent Linux. Beaucoup de scaanners aujourd'hui peuvent facilement déterminer ceci en envoyant des mauvais paquets à un système et en regardant comment ils répondent, comme le nmap de Fyodoror. Ensuite, ces outils vont déterminer lesquels de ces systèmes Linux utilisent imap
Tout ce qui reste à faire maintenant est d'exploiter ces systèmes vulnérables.

Vous pourriez penser que faire tous ces scans serait très peu discret, que cela attire beaucoup l'attention. Cependant, beaucoup de gens ne surveillent pas leurs systèmes, et ne réalisent pas qu'ils sont en train d'être scannés. De plus, beaucoup de script kiddies recherchent tranquillement un système isolé qu'ils peuvent pénétrer. Une fois qu'ils ont pénétré un système, ils utilisent maintenant ce système comme plate-forme de lancement. Ils peuvent sans problème scanner tout le net sans crainte de se faire prendre. Si leurs scans sont détectés, c'est surtout l'administrateur système et pas le hacker qui sera concerné.

De plus, ces scans sont souvent archivés ou mis en commun avec les autres utilisateurs, puis regardés à une date ultérieure. Par exemple, un utilisateur développe une base de données des ports qui sont ouverts sur des systèmes Linux accessibles. L'utilisateur a préparé cette base de données pour exploiter le bug en question d'imap. Cependant, disons qu'un mois plus tard un nouveau bug Linux est identifé sur un port différent. Au lieu de devoir faire une nouvelle base de données (ce qui représente la partie la plus longue), l'utilisateur peut rapidement passer en revue sa base de données archivée et compromettre les systèmes vulnérables. Comme alternative, les script kiddies partagent ou même achètent des bases de données de systèmes vulnérables entre eux. Le script kiddie peut alors pénétrer votre système sans même avoir à le scanner: que vos systèmes n'aient pas été scannés récemment ne veut pas dire que vous êtes en sécurité.

Les plus minutieux hackers implémentent des trojans et des backdoor une fois que le système a été compromis. Les backdoors permettent un accès facile et inaperçu au système toutes les fois que l'utilisateur le veut. Les trojans rendent le hackeur indétectable. Il n'apparaîtra dans aucun des logs, des processus du système, ou dans la structure des fichiers. Il établit une
maison confortable et sûre où il peut sans discrétion scanner le net. Plus d'information sur cela, allez regarder "Know Your Enemy III".

Ces attaques ne se limitent pas à une certaine partie de la journée. Beaucoup d'administrateurs recherchent dans leurs logs des entrées pour des intrusions qui se sont passées tard dans la nuit, pensant que c'est à ce moment que les hackers attaquent. Les script attaquent à tout moment. Vu qu'ils peuvent scanner n'importe quand des 24 heures que compte un jour, vous n'avez aucune idée de quand l'intrusion se produira. De plus ces attaques sont lancées depuis le monde entier. Et comme Internet ne connaît pas de frontières, il ne connaît aucun fuseau horaire. Cela peut être minuit où le hacker se trouve, mais ça sera peut-être 13 heures chez vous.

Les outils

Les outils utilisés sont très simples d'utilisation. La plupart serve à une seule chose et ont peu d'options. D'abord il y a les outils utilisés pour établir une base de données d'IPs. Ces outils sont vraiment aléatoires, car scannent sans distinction le net. Par exemple, un outil a une seule option, A, B, ou C. La lettre que vous choisissez détermine la taille du réseau à scanner. Un autre outil utilise un nom de domaine (z0ne est un excellent exemple). Les outils construisent une base de données d'IP en faisant des transferts de zone du nom de et de tous les sous-domaines. Certains utilisateurs ont construit des bases de données avec plus de 2 millions d'IPs en balayant le domaine entier de .com ou de .edu.

Une fois trouvées les IPs sont scannées par des outils qui trouvent les vulnérabilités, telles que la version du système d'exploitation appelé ou les services fonctionnant sur le système. Une fois que les systèmes vulnérables ont été identifiés, les hackers frappent. Plusieurs outils existent qui combinent tous ces dispositifs ensemble, simplifiant grandement le processus, comme sscan par jsbach ou cracker.pl. Pour une meilleure compréhension de la façon dont ces outils sont utilisés, référez vous à Know Your Enemy II.

Comment se protéger de cette menace

Il y a des mesures que vous pouvez prendre pour vous protéger de cette menace. D'abord, le script kiddie a pour politique celle de l'intrusion la plus facile, ils recherchent les exploits les plus communs. Assurez-vous que vos systèmes et vos réseaux ne sont pas vulnérables à ces exploits. Les sites www.cert.org et www.ciac.org sont d'excellentes sources sur ce que sont les exploits les plus communs. En outre la liste bugtraq (archivée à securityfocum.com) est une des meilleures sources d'information.

Une autre manière de se protéger est d'exécuter seulement les services nécessaires. Si vous n'avez pas besoin d'un service, désactiver le. Si vous avez besoin d'un service, assurez-vous que c'est la dernière version. Pour des exemples de la démarche à suivre consultez mes articles:

Armoring Solaris, Armoring Linux ou Armoring NT.

Comme vous venez là d'étudier la section sur les outils sachez que les serveurs DNS sont souvent utilisés pour développer une base de données des systèmes qui peuvent être sondés. Limitez les systèmes qui peuvent faire des transferts de zone à partir de vos serveurs de nom. Loggez tous les transferts non autorisés de zone et suivez les. Je vous recommande fortement d'upgrader BIND (logiciel utilisé pour le Domain Name Service) à la sa dernière version, que vous pouvez trouver à www.isc.org/bind.html.

Enfin, analyser vos systèmes qui se font pénétrer. Une fois les intrusions identifiées vous pouvez faire des investigations et avoir une meilleure compréhension des menaces qui pèsent sur votre réseau et réagir à ces menaces.

Conclusion

Les script kiddies constituent une menace pour tous les systèmes. Ils agissent sans aucune polarisation et scannent tous les systèmes, indifféremment de l'endroit et du contenu de l'ordinateur. Tôt ou tard, votre système sera analysé. En comprenant leurs motivations et leurs méthodes, vous pourrez mieux protéger vos systèmes de cette menace.